ISO 27002: 2022, kontrol 5.2 — informationssikkerhedsroller og -ansvar — er en af de vigtigste kontroller i ISO 27002:2022. Det er en ændring af kontrol 6.1.1 i ISO 27002:2013, og den definerer, hvordan organisationer skal definere og tildele informationssikkerhedsroller og -ansvar.
Organisationens leder, de øverste informationssikkerhedsofficerer (CISO'er), IT-serviceledelsen (ITSM'er), systemejerne og systembrugerne bidrager alle til robustheden af informationssikkerhed. Dette afsnit opsummerer og diskuterer ansvar for dem, der har disse roller.
Informationssikkerhed er dit ansvar som administrerende direktør for dit bureau. Derudover fungerer du som organisationens akkrediteringsorgan.
God praksis i sikkerhedssektoren og i styring er, hvad CISO'er er ansvarlige for. At have denne stilling på plads garanterer det informationssikkerhed forvaltes korrekt på de højeste niveauer i organisationen.
En ITSM er en højtstående embedsmand i virksomheden. Systemadministratorer arbejder sammen med informationssikkerhedschefen for at udføre den administrerende direktørs strategiske direktiver.
Der kræves en ejer til hvert system. Som et resultat heraf påhviler det enhver systemejer at garantere overholdelse af IT-styringsregler og opfyldelse af forretningsbehov.
Systembrugere er mere tilbøjelige til at overholde sikkerhedsregler og -procedurer, hvis der er en stærk sikkerhedskultur på plads. Ethvert system har iboende farer, og det er op til brugerne at tage ansvar for at afbøde sådanne farer.
At håndtere denne kontrol er afgørende for at sikre, at hver medarbejder forstår, hvad de er ansvarlig for, når det kommer til at beskytte data, systemer og netværk. Det er ganske vist en udfordring for mange virksomheder, især små, hvor medarbejderne typisk har mere end én hat på.
En attributsektion er nu inkluderet i seneste version af ISO 27002. At definere attributter er en måde at klassificere kontroller på. Disse giver dig mulighed for nemt at matche dit kontrolvalg med typisk industriterminologi. Attributterne for kontrol 5.2 er:
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere | #Governance | #Governance og økosystem #Modstandsdygtighed |
Formålet med kontrol 5.2 er at etablere en defineret, godkendt og forstået struktur for implementering, drift og styring af informationssikkerhed i organisationen. Dette er en formel organisationsstruktur, der tildeler ansvaret for informationssikkerhed i hele organisationen.
Kontrol 5.2 omhandler implementering, drift og styring af roller og ansvar for informationssikkerhed i en organisation i henhold til rammerne som defineret af ISO 27001.
Det fremgår af kontrollen, at informationssikkerhedsroller og -ansvar skal være veldefinerede, og at alle involverede skal forstå deres rolle. Typisk tildeles aktiver en udpeget ejer, som påtager sig ansvaret for deres daglige pleje.
Men afhængigt af organisationens størrelse og de tilgængelige ressourcer kan informationssikkerhed varetages af et dedikeret team eller yderligere ansvar tildeles nuværende medarbejdere.
Tildeling af roller og ansvar for informationssikkerhed er afgørende for at sikre, at organisationens informationssikkerhed vedligeholdes og forbedres. For at opfylde kravene til denne kontrol bør rollefordelingen formaliseres og dokumenteres, fx i tabelform eller i form af et organisationsdiagram.
Hensigten her er at sikre, at klare roller, ansvar og beføjelser er tildelt og forstået i hele organisationen. For at sikre effektiv adskillelse af opgaver bør roller og ansvar dokumenteres, kommunikeres og anvendes konsekvent på tværs af organisationen.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Vi er omkostningseffektive og hurtige
Som allerede nævnt er kontrol 5.2 i ISO 27002:2022, Informationssikkerhedsroller og -ansvar, ikke en ny kontrol. Dette er simpelthen en modificeret kontrol fundet i ISO 27002:2013 som kontrol 6.1.1.
Formålet med kontrol 5.2 er blevet defineret, og nye implementeringsinstruktioner er inkluderet i den seneste revision af ISO 27002. Selvom essensen af de to kontroller grundlæggende er den samme, er der små forbedringer i 2022-versionen.
For eksempel angiver ISO 27002:2022, at personer, der påtager sig en specifik informationssikkerhedsfunktion, skal være kompetent i viden og færdigheder kræves af rollen og understøttes til at holde sig opdateret med fremskridt knyttet til rollen og nødvendige for at opfylde rollens forpligtelser. Dette punkt er ikke en del af 2013-versionen.
Derudover er implementeringsretningslinjerne for begge versioner lidt forskellige. Lad os sammenligne sektioner af de to nedenfor:
ISO 27002:2013 angiver de områder, som personer er ansvarlige for, skal angives. Disse områder er:
a) aktiverne og informationssikkerhedsprocesserne bør identificeres og defineres;
b) den enhed, der er ansvarlig for hvert aktiv eller informationssikkerhedsproces, bør tildeles, og detaljerne om dette ansvar bør dokumenteres;
c) autorisationsniveauer bør defineres og dokumenteres;
d) For at kunne varetage opgaver på informationssikkerhedsområdet bør de udpegede personer være kompetente på området og have mulighed for at holde sig ajour med udviklingen;
e) koordinering og tilsyn med informationssikkerhedsaspekter af leverandørforhold bør identificeres og dokumenteres.
ISO 27002:2022 er mere fortættet. Den siger blot, at organisationen skal definere og administrere ansvar for:
a) beskyttelse af information og andre tilknyttede aktiver;
b) udførelse af specifikke informationssikkerhedsprocesser;
c) risikostyring af informationssikkerhed aktiviteter og især accept af resterende risici (f.eks. over for risikoejere);
d) alt personale, der bruger en organisations oplysninger og andre tilknyttede aktiver.
Begge kontrolversioner foreslår dog, at organisationer kan udpege en informationssikkerhedschef til at tage det overordnede ansvar for udvikling og implementering af informationssikkerhed og til at understøtte identifikation af kontroller.
En informationssikkerhedschef er ofte udpeget af virksomheder til at føre tilsyn med oprettelsen og udførelsen af sikkerhedsforanstaltninger og til at hjælpe med at opdage potentielle trusler og kontroller.
Ressourcer og sætte styringen på plads vil typisk tilfalde individuelle ledere. En hyppig praksis er at udpege en person for hvert aktiv, som derefter er ansvarlig for aktivets løbende sikkerhed.
Du forventes ikke at gøre meget i forhold til at opfylde kravene til den nye ISO 27002:2022 standard undtagen opgradering af dit ISMS processer for at afspejle de forbedrede kontroller, hvis dit interne team ikke kan håndtere dette, kan ISMS.online hjælpe.
Udover at levere en sofistikeret cloud-baseret ramme til dokumentation af ISMS-procedurer og tjeklister for at sikre overholdelse af etablerede normer, strømliner ISMS.online også ISO 27001-certificeringsprocessen og ISO 27002-implementeringsprocessen.
Alle dine ISMS løsninger kan administreres centralt takket være vores cloud-baserede software. Du kan bruge vores brugervenlige applikation til at holde styr på alt, hvad der er kræves for at verificere overensstemmelse med ISO 2K7 specifikationer.
Implementering af ISO 27002 er forenklet med vores intuitive trinvise arbejdsgang og værktøjer, der omfatter rammer, politikker og kontroller, handlingsvenlig dokumentation og vejledning. Du kan definere omfanget af ISMS, identificer risici og implementer kontroller ved hjælp af vores platform – med blot et par klik.
Vi har også et internt team af informationsteknologispecialister, som vil give dig råd og assistance, så du kan demonstrere overholdelse af standarder og dedikation til informationssikkerhed til dine kunder.
For at lære mere om, hvordan ISMS.online kan hjælpe dig med at nå dine ISO 2K7-mål, bedes du ringe til os på +44 (0)1273 041140.
Kontakt i dag for book en demo.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
